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STAATSCOURANT 

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. 


Beleidsregels van de Autoriteit Persoonsgegevens van 15 december 2015 
met betrekking tot het opleggen van bestuurlijke boetes (Boetebeleidsregels 
Autoriteit Persoonsgegevens 2016) 


Het College bescherming persoonsgegevens heeft, gelet op artikel 4:81 van de Algemene wet 
bestuursrecht, artikel 66 van de Wet bescherming persoonsgegevens, artikel 35, derde lid, van de Wet 
politiegegevens, artikel 27, vierde lid, van de Wet justitiële en strafvorderlijke gegevens en artikel 15.4, 
vierde lid, van de Telecommunicatiewet, besloten om de volgende beleidsregels met betrekking tot 
het bepalen van de hoogte van bestuurlijke boetes vast te stellen: 

HOOFDSTUK 1. ALGEMENE BEPALINGEN 

Artikel 1. Definities 

In deze beleidsregels wordt verstaan onder: 

a. Autoriteit Persoonsgegevens: het College bescherming persoonsgegevens, genoemd in artikel 51 
van de Wet bescherming persoonsgegevens; 

b. basisboete: het bedrag dat de basis vormt voor het bepalen van de hoogte van een op te leggen 
bestuurlijke boete, vastgesteld binnen de bandbreedte van de aan een overtreding gekoppelde 
boetecategorie, voordat toepassing is gegeven aan de paragrafen 2.4 en 2.5; 

c. betrokkene: degene op wie een persoonsgegeven betrekking heeft als bedoeld in artikel 1, aanhef 
en onder f, van de Wet bescherming persoonsgegevens. 

HOOFDSTUK 2. BEPALEN VAN DE HOOGTE VAN BESTUURLIJKE BOETES 

Paragraaf 2 .7 Overtredingen met een wettelijk boetemaximum van € 820.000 

Artikel 2. Categorie-indeling en boetebandbreedtes 

2.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke 
boete van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde 
lid, van het Wetboek van Strafrecht (per 1 januari 2016: € 820.000) 1 kan opleggen, zijn in bijlage 1 
ingedeeld in categorie I, categorie II of categorie III. 

2.2 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk 
boetemaximum van € 820.000 geldt vast binnen de volgende boetebandbreedtes: 


Categorie 1 

Boetebandbreedte tussen € 0 en € 200.000 

Categorie II 

Boetebandbreedte tussen € 120.000 en € 500.000 

Categorie III 

Boetebandbreedte tussen € 350.000 en € 820.000 


Paragraaf 2.2 Overtredingen met een wettelijk boetemaximum van € 450.000 

Artikel 3. Categorie-indeling en boetebandbreedtes 

3.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke 
boete van ten hoogste het bedrag van € 450.000 kan opleggen, zijn in bijlage 2 ingedeeld in 
categorie I, categorie II of categorie III. 

3.2 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk 
boetemaximum van € 450.000 geldt vast binnen de volgende boetebandbreedtes: 


Categorie 1 

Boetebandbreedte tussen € 0 en € 100.000 

Categorie II 

Boetebandbreedte tussen € 60.000 en € 300.000 

Categorie III 

Boetebandbreedte tussen € 200.000 en € 450.000 


1 Zie artikel I van het Besluit van 10 november 2015 tot wijziging van de bedragen van de categorieën, bedoeld in artikel 23, vierde 
lid, van het Wetboek van Strafrecht (Stb. 2015, nr. 420). 
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Paragraaf 2.3 Overtredingen met een wettel ijk boetemaximum van € 20.500 

Artikel 4. Categorie-indeling en boetebandbreedtes 

4.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke 
boete van ten hoogste het bedrag van de geldboete van de vierde categorie van artikel 23, vierde 
lid, van het Wetboek van Strafrecht (per 1 januari 2016: € 20.500) 2 kan opleggen, zijn in bijlage 3 
ingedeeld in categorie I of categorie II. 

4.2 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk 
boetemaximum van € 20.500 geldt vast binnen de volgende boetebandbreedtes: 


Categorie 1 

Boetebandbreedte tussen € 0 en € 12.500 

Categorie II 

Boetebandbreedte tussen € 7.500 en € 20.500 


Paragraaf 2.4 Bepalen van de hoogte van de boete 

Artikel 5. De basisboete en mogelijke verhoging of verlaging 

De Autoriteit Persoonsgegevens bepaalt de hoogte van de boete door het bedrag van de basisboete 
naar boven (tot ten hoogste het maximum van de bandbreedte van de aan een overtreding gekop¬ 
pelde boetecategorie) of naar beneden (tot ten laagste het minimum van die bandbreedte) bij te 
stellen. De basisboete wordt verhoogd of verlaagd afhankelijk van de mate waarin de factoren die zijn 
genoemd in artikel 6 daartoe aanleiding geven. 

Artikel 6. Relevante factoren 

6.1 De Autoriteit Persoonsgegevens houdt rekening met de ernst van de overtreding. De Autoriteit 
Persoonsgegevens stemt de beoordeling van de ernst van de overtreding in het concrete geval af 
op: 

a. de aard en omvang van de overtreding; 

b. de duur van de overtreding; 

c. de impact van de overtreding op (de bescherming van persoonsgegevens en van de persoon¬ 
lijke levenssfeer voor) de betrokkenen en/of de maatschappij. 

6.2 De Autoriteit Persoonsgegevens houdt rekening met de mate waarin de overtreding aan de 
overtreder kan worden verweten. Indien de overtreding opzettelijk is gepleegd of het gevolg is van 
ernstig verwijtbare nalatigheid als bedoeld in artikel 66, vierde lid, van de Wet bescherming 
persoonsgegevens, wordt aangenomen dat sprake is van een aanzienlijke mate van verwijtbaar¬ 
heid van de overtreder. 

6.3 De Autoriteit Persoonsgegevens houdt zo nodig rekening met de omstandigheden waaronder de 
overtreding is gepleegd en de (financiële) omstandigheden waarin de overtreder verkeert. 

Artikel 7. Buiten de bandbreedte treden en boetemaximum van tien procent van de jaaromzet 

7.1 Indien de voor de overtreding bepaalde boetecategorie in het concrete geval geen passende 
bestraffing toelaat, kan de Autoriteit Persoonsgegevens bij het bepalen van de hoogte van de 
boete de boetebandbreedte van de naast hogere categorie respectievelijk de bandbreedte van de 
naast lagere categorie toepassen. 

7.2 Indien ter zake van de overtreding aan een rechtspersoon een bestuurlijke boete van € 820.000 kan 
worden opgelegd en dit wettelijk boetemaximum naar het oordeel van de Autoriteit Persoonsge¬ 
gevens geen passende bestraffing toelaat, kan zij op grond van artikel 23, zevende lid, van het 
Wetboek van Strafrecht een hogere boete opleggen tot ten hoogste tien procent van de jaaromzet 
van de rechtspersoon in het boekjaar voorafgaande aan het besluit waarbij de bestuurlijke boete 
wordt opgelegd. Voor de jaaromzet van de rechtspersoon wordt aangesloten bij de netto-omzet, 
bedoeld in artikel 377, zesde lid, van Boek 2 van het Burgerlijk Wetboek. 

Paragraaf 2.5 Boeteverhogende en boeteverlagende omstandigheden 

Artikel 8. Eventuele boeteverhoging of boeteverlaging 

Indien naar het oordeel van de Autoriteit Persoonsgegevens sprake is van boeteverhogende of 
boeteverlagende omstandigheden, kan het bedrag van de boete nadat toepassing is gegeven aan 


2 Zie artikel I van het Besluit van 10 november 2015 tot wijziging van de bedragen van de categorieën, bedoeld in artikel 23, vierde 
lid, van het Wetboek van Strafrecht. 
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paragraaf 2.4, worden verhoogd dan wel verlaagd vanwege omstandigheden als bedoeld in de 
artikelen 9 en 10. De Autoriteit Persoonsgegevens kan daarbij buiten de grenzen van de toegepaste 
boetebandbreedte treden, met inachtneming van het wettelijk boetemaximum. 

Artikel 9. Boeteverhogende omstandigheden 

9.1 De Autoriteit Persoonsgegevens merkt als boeteverhogende omstandigheden aan: 

a. de omstandigheid dat de Autoriteit Persoonsgegevens voorafgaand aan de dagtekening van 
het van de overtreding opgemaakte rapport, bedoeld in artikel 5:48, eerste lid, van de Alge¬ 
mene wet bestuursrecht voor een eerdere overtreding van eenzelfde of een soortgelijke door 
die overtreder begane overtreding een bestuurlijke boete heeft opgelegd die onherroepelijk is 
geworden. In geval van recidive als bedoeld in de vorige zin verhoogt de Autoriteit Persoons¬ 
gegevens de boete met 50%, tenzij dit gezien de omstandigheden van het concrete geval 
onredelijk zou zijn. 

b. de omstandigheid dat de overtreder het onderzoek van de Autoriteit Persoonsgegevens heeft 
tegengewerkt of belemmerd. 

9.2 IMiet-nakoming van een bindende aanwijzing, bedoeld in artikel 66, vijfde lid, van de Wet bescher¬ 
ming persoonsgegevens, wordt niet aangemerkt als eenzelfde of soortgelijke overtreding als de 
overtreding van het in artikel 66, tweede lid, van de Wet bescherming persoonsgegevens 
genoemde voorschrift waarvoor de Autoriteit Persoonsgegevens de bindende aanwijzing heeft 
gegeven. 

Artikel 10. Boeteverlagende omstandigheden 

Boeteverlagende omstandigheden zijn in ieder geval: 

a. de omstandigheid dat de overtreder verdergaande medewerking aan de Autoriteit Persoonsgege¬ 
vens heeft verleend dan waartoe hij wettelijk gehouden was; 

b. de omstandigheid dat de overtreder uit eigen beweging de overtreding heeft beëindigd voor of bij 
de eerste bekendwording met het onderzoek van de Autoriteit Persoonsgegevens; 

c. de omstandigheid dat de overtreder uit eigen beweging degenen aan wie door de overtreding 
schade is berokkend, schadeloos heeft gesteld. 

HOOFDSTUK 3. SLOTBEPALINGEN 

Artikel 11. Intrekking oude beleidsregels 

De Regels voor de boetevaststelling (Stcrt. 2003, nr. 123) worden ingetrokken. 

De Beleidsregels CBP handhaving protocolplicht Wet politiegegevens (Stcrt. 2009, nr. 15761 en Stcrt. 
2009, nr. 17372) en de bij dit besluit behorende bijlage worden ingetrokken. 

Artikel 12. Inwerkingtreding 

Deze beleidsregels treden in werking met ingang van de dag na de datum van uitgifte van de 
Staatscourant waarin ze worden geplaatst. 

Artikel 13. Citeertitel 

Deze beleidsregels worden aangehaald als: Boetebeleidsregels Autoriteit Persoonsgegevens 2016. 

Artikel 14. Bekendmaking 

Deze beleidsregels zullen met de toelichting in de Staatscourant worden geplaatst. 
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BIJLAGE 1, BEHORENDE BIJ ARTIKEL 2 VAN DE BOETEBELEIDSREGELS AUTORITEIT 
PERSOONSGEGEVENS 2016 



Overtredingen met een wettelijk boetemaximum van € 820.000 


I Wetsartikel 

Omschrijving 

Categorie j 

Wet bescherming persoonsgegevens 

artikel 6 

behoorlijke en zorgvuldige gegevensverwerking 

1, II of III 

artikel 7 

doeleindenomschrijving 

II 

artikel 8 

grondslag gegevensverwerking 

II 

artikel 9, eerste lid 

doelbinding 

II 

artikel 9, vierde lid 

geen verwerking als geheimhoudingsplicht 

II 

artikel 10, eerste lid 

maximale bewaartermijn 

II 

artikel 11, eerste lid 

toereikende, ter zake dienende en niet bovenma¬ 
tige gegevensverwerking 

II 

artikel 11, tweede lid 

maatregelen opdat persoonsgegevens juist en 
nauwkeurig zijn 

II 

artikel 12, eerste lid 

verwerking in opdracht verantwoordelijke 

1: indien de overtreder een 
natuurlijke persoon is; 

II: indien de overtreder een 
rechtspersoon is, of een 
onderdeel daarvan 

artikel 12, tweede lid 

geheimhoudingsplicht 

1: indien de overtreder een 
natuurlijke persoon is; 

II: indien de overtreder een 
rechtspersoon is, of een 
onderdeel daarvan 

artikel 13 

beveiligingsverplichting 

II 

artikel 16 

verbod verwerking bijzondere persoonsgegevens 

III 

artikel 24, eerste lid 

gebruik wettelijk identificatienummer 

III 

artikel 24, tweede lid 

nadere regels gebruik wettelijk identificatienum¬ 
mer 

II 

artikel 33, eerste lid 

informatieplicht persoonsgegevens verkregen bij 
betrokkene 

II 

artikel 33, tweede lid 

te verstrekken informatie 

II 

artikel 33, derde lid 

verstrekking nadere informatie 

II 

artikel 34, eerste lid 

informatieplicht persoonsgegevens verkregen op 
andere wijze dan bij betrokkene 

II 

artikel 34, tweede lid 

te verstrekken informatie 

II 

artikel 34, derde lid 

verstrekking nadere informatie 

II 

artikel 34a, eerste lid 

meldplicht datalekken bij Autoriteit Persoonsge¬ 
gevens 

II 

artikel 34a, tweede lid 

meldplicht aan betrokkene 

II 

artikel 34a, derde lid 

inhoud kennisgeving 

1 

artikel 34a, vierde lid 

inhoud kennisgeving aan Autoriteit Persoonsge¬ 
gevens 

1 

artikel 34a, vijfde lid 

wijze kennisgeving aan betrokkene 

1 

artikel 34a, zevende lid 

alsnog verplichte kennisgeving aan betrokkene 

II 

artikel 34a, achtste lid 

bijhouden overzicht inbreuken 

II 

artikel 34a, elfde lid 

nadere regels kennisgeving 

1 

artikel 35, eerste lid, tweede volzin 

inzagerecht 

II 

artikel 35, tweede lid 

inhoud mededeling 

II 

artikel 35, derde lid 

zienswijze vragen derde 

1 

artikel 35, vierde lid 

mededelingen logica geautomatiseerde verwer¬ 
king 

1 

artikel 36, tweede lid 

recht op verbetering, aanvulling, verwijdering of 
afscherming persoonsgegevens 

II 

artikel 36, derde lid 

uitvoering beslissing op verzoek 

II 

artikel 36, vierde lid 

informeren over onmogelijkheid van verbetering, 
aanvulling, verwijdering of afscherming 

1 

artikel 38, eerste lid 

informeren derden over toewijzing verzoek 

1 

artikel 38, tweede lid 

informeren verzoeker 

1 

artikel 39, eerste lid 

maximale vergoeding inzageverzoek 

1 

artikel 39, tweede lid 

teruggave vergoeding bij verbetering, aanvulling, 
verwijdering of afscherming 

1 

artikel 39, derde lid jo. eerste lid 

gewijzigde maximale vergoeding 

1 
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Wetsartikel 


Omschrijving 


Categorie 


artikel 40, tweede lid 

recht van verzet 

ii 

artikel 40, derde lid 

maximale vergoeding en teruggave vergoeding 
bij gegrond verzet 

i 

artikel 41, tweede lid 

absoluut recht van verzet tegen verwerking voor 
commerciële of charitatieve doelen 

ii 

artikel 41, derde lid 

maatregelen om betrokkenen bekend te maken 
met recht van verzet 

i 

artikel 42, eerste lid 

regels geautomatiseerde individuele besluiten 

mi 

artikel 42, vierde lid 

mededeling logica geautomatiseerde verwerking 

i 

artikel 66, vijfde lid 

niet-nakoming bindende aanwijzing 

1, II of III, afhankelijk van de 
indeling van het onderliggende 
artikel 

artikel 76, eerste lid 

verbod doorgifte naar land buiten EER zonder 
passend beschermingsniveau 

II 

artikel 77, tweede lid 

voorschriften doorgiftevergunning 

1 

artikel 78, vierde lid 

opschorting doorgifte bij ministeriële regeling of 
besluit 

1 

Algemene wet bestuursrecht 

artikel 5:20, eerste lid 

medewerkingsplicht (nalevingstoezicht Wet 
bescherming persoonsgegevens) 

III 
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BIJLAGE 2, BEHORENDE BIJ ARTIKEL 3 VAN DE BOETEBELEIDSREGELS AUTORITEIT 
PERSOONSGEGEVENS 2016 



Overtredingen met een wettelijk boetemaximum van € 450.000 


I Wetsartikel 

Omschrijving 

Categorie 

Telecommunicatiewet 

artikel 11.3a, eerste lid 

meldplicht datalekken aanbieder openbare 
elektronische communicatiedienst bij 
Autoriteit Persoonsgegevens 

in 

artikel 11.3a, tweede lid 

meldplicht aan betrokkene 

mi 

artikel 11.3a, derde lid 

inhoud kennisgeving 

ii 

artikel 11.3a, vierde lid 

alsnog verplichte kennisgeving aan 
betrokkene 

mi 

artikel 11.3a, zesde lid 

bijhouden overzicht inbreuken 

mi 

artikel 11.3a, zevende lid 

nadere regels kennisgeving 

ii 

Algemene wet bestuursrecht 

artikel 5:20, eerste lid 

medewerkingsplicht (nalevingstoezicht 
Telecommunicatiewet) 

mi 
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BIJLAGE 3, BEHORENDE BIJ ARTIKEL 4 VAN DE BOETEBELEIDSREGELS AUTORITEIT 
PERSOONSGEGEVENS 2016 



Overtredingen met een wettelijk boetemaximum van € 20.500 


Wetsartikel 


Omschrijving 


Categorie 


Wet bescherming persoonsgegevens 

artikel 4, derde lid aanwijzing vertegenwoordiger door II 

verantwoordelijke buiten EER 

artikel 78, tweede lid, aanhef en onder a doorgifteverbod bij ministeriële regeling of II 


besluit 

Wet politiegegevens 

artikel 32, eerste lid protocolplicht II 

artikel 32, tweede lid melding gemeenschappelijke verwerking I 

aan Autoriteit Persoonsgegevens 

artikel 32, derde lid bewaartermijn II 

artikel 32, vierde lid nadere regels wijze vastlegging I 

Wet justitiële en strafvorderlijke gegevens 

artikel 19, eerste lid vastlegging en bewaarplicht verstrekking II 

justitiële gegevens 

artikel 39j, eerste lid vastlegging en bewaarplicht verstrekking II 

strafvorderlijke gegevens 

artikel 44, eerste lid vastlegging en bewaarplicht verstrekking II 


afschriften rapporten uit persoonsdossiers 
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TOELICHTING OP DE BELEIDSREGELS 



Algemene toelichting 

Uitbreiding boetebevoegdheid Autoriteit Persoonsgegevens 

Op grond van de Wet meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp (Stb. 
2015, 230) kan de Autoriteit Persoonsgegevens een bestuurlijke boete (hierna: boete) opleggen ter 
zake van overtreding van onder andere alle hoofdverplichtingen van de verantwoordelijke uit de Wet 
bescherming persoonsgegevens (Wbp). De Wet meldplicht datalekken en uitbreiding bestuurlijke 
boetebevoegdheid Cbp treedt op 1 januari 2016 in werking (Stb. 2015, 281). 

De bevoegdheid van de Autoriteit Persoonsgegevens om bij overtredingen van de Wbp een boete op 
te leggen, gold voorheen uitsluitend voor overtreding van artikel 27 en 28. 

De keuze van de wetgever om over te gaan tot uitbreiding van de boetebevoegdheid is ingegeven 
door de wens de sanctiemogelijkheden van de Autoriteit Persoonsgegevens te versterken om de 
naleving van de Wbp, zowel door bedrijven als overheden, te bevorderen. 3 Met de uitbreiding van de 
boetebevoegdheid van de Autoriteit Persoonsgegevens wordt toegegroeid naar het handhavingssys- 
teem uit de toekomstige Algemene verordening gegevensbescherming, die de Wbp als algemene wet 
zal gaan vervangen. 4 Ook het voorstel voor deze verordening voorziet in de bevoegdheid voor de 
nationale toezichthouders om boetes op te leggen bij overtreding van de verordening. 

Bindende aanwijzing 

Op grond van artikel 66, derde lid, van de Wbp moet de Autoriteit Persoonsgegevens eerst een 
bindende aanwijzing aan de overtreder geven, voordat zij kan overgaan tot het opleggen van een 
boete wegens overtreding van de in artikel 66, tweede lid, genoemde artikelen. In de bindende 
aanwijzing zal de Autoriteit Persoonsgegevens ter concretisering van de wettelijke norm moeten 
aangeven welke gedraging op grond van de Wbp van de overtreder wordt verwacht en hem zo 
mogelijk moeten opdragen om de overtreding geheel of gedeeltelijk te herstellen. 5 De Autoriteit 
Persoonsgegevens kan daarbij de overtreder een termijn stellen waarbinnen de aanwijzing moet 
worden opgevolgd. Indien de aanwijzing niet wordt opgevolgd, is de Autoriteit Persoonsgegevens 
reeds om die reden bevoegd een boete op te leggen. 6 

Deze verplichting een bindende aanwijzing te geven, alvorens een boete op te leggen, geldt niet 
indien de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid (zie 
het vierde lid van artikel 66 van de Wbp). Deze opsomming is niet cumulatief. Zodra aan een van de 
beschreven omstandigheden is voldaan, kan de Autoriteit Persoonsgegevens direct een boete 
opleggen. 

Bij de term 'opzettelijk gepleegd' valt volgens de wetsgeschiedenis te denken aan ongeoorloofde 
handel in persoonsgegevens. In dergelijke situaties gaat het bijvoorbeeld om overtreders die willens 
en wetens de regels overtreden om er zelf financieel beter van te worden. 7 Voor de uitleg van het 
begrip opzet wordt aansluiting gezocht bij de strafrechtelijke jurisprudentie over voorwaardelijk opzet. 
Onder 'het gevolg van ernstig verwijtbare nalatigheid' wordt volgens de wetsgeschiedenis verstaan: 
indien de overtreding het gevolg is van grof of aanzienlijk onzorgvuldig, onachtzaam dan wel 
onoordeelkundig handelen. Indien meerdere malen eenzelfde type overtreding heeft plaatsgevonden, 
kan sneller worden aangenomen dat sprake is van nalatigheid. 8 

Boetebevoegdheid, wettelijk boetemaximum en boetemaximum van tien procent van de jaaromzet 

De Autoriteit Persoonsgegevens is op grond van artikel 66 van de Wbp bevoegd een boete op te 
leggen ter zake van overtredingen van de in het eerste en tweede lid van dat artikel genoemde 
bepalingen van de Wbp, niet-nakoming van een bindende aanwijzing als bedoeld in het vijfde lid van 
voornoemd artikel en overtreding van artikel 5:20 van de Algemene wet bestuursrecht (Awb) bij 
nalevingstoezicht op de Wbp. 


3 Kamerstukken II 2014/15, 33 662, nr. 9, p. 4. 

4 Kamerstukken //2014/15, 33 662, nr. 9, p. 11. 

5 Kamerstukken II 2014/15, 33 662, nr. 9, p. 4. 

6 Kamerstukken II 2014/15, 33 662, nr. 9, p. 17. 

7 Kamerstukken //2014/15, 33 662, nr. 9, p. 17. 

8 Kamerstukken II 2014/15, 33 662, nr. 16. 
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De Autoriteit Persoonsgegevens kan voorts op grond van artikel 15.4, vierde lid, van de Telecommuni¬ 
catiewet (hierna: Tw) een boete opleggen ter zake van overtreding van de in artikel 15.1, tweede lid, 
van deze wet bedoelde regels (de meldplicht voor datalekken in artikel 11.3a van de Tw), en artikel 5:20 
van de Awb bij nalevingstoezicht op de Tw. 

Tot slot kan de Autoriteit Persoonsgegevens op grond van artikel 35, derde lid, van de Wet politiegege¬ 
vens (Wpg) en artikel 27, vierde lid, van de Wet justitiële en strafvorderlijke gegevens (Wjsg) een boete 
opleggen ter zake van overtredingen van een aantal bepalingen uit die wetten. 

De beboetbare bepalingen uit de hiervoor genoemde wetten kennen een wettelijk boetemaximum van 
€ 820.000, € 450.000 of € 20.500. Deze beboetbare bepalingen zijn, gegroepeerd per wettelijk 
boetemaximum, opgesomd en omschreven in bijlage 1 tot en met 3 bij deze beleidsregels. 

Artikel 66, tweede en vijfde lid, van de Wbp, in samenhang gelezen met artikel 23, zevende lid, van het 
Wetboek van Strafrecht biedt de Autoriteit Persoonsgegevens de mogelijkheid, indien het hoogste 
boetemaximum van € 820.000 geen passende bestraffing toelaat, aan een rechtspersoon een hogere 
boete op te leggen tot tien procent van de jaaromzet van de rechtspersoon in het boekjaar vooraf¬ 
gaande aan het besluit waarbij de boete wordt opgelegd. 

De bedragen van € 820.000 en € 20.500 zijn de bedragen van geldboetecategorieën, genoemd in 
artikel 23, vierde lid, van het Wetboek van Strafrecht. Deze worden elke twee jaar bij algemene 
maatregel van bestuur aangepast aan de geldontwaarding (zie artikel 23, negende lid, van het 
Wetboek van Strafrecht). De aanpassing aan de ontwikkeling van de consumentenprijsindex kan 
aanleiding geven de bedragen in deze beleidsregels te wijzigen. De laatste aanpassing van de 
bedragen heeft met ingang van 1 januari 2016 plaatsgevonden bij het Besluit van 10 november 2015 
tot wijziging van de bedragen van de categorieën, bedoeld in artikel 23, vierde lid, van het Wetboek 
van Strafrecht (Stb. 2015, nr. 420). De regering heeft in het voorstel van wet houdende een verhoging 
van voor de Autoriteit Consument en Markt geldende boetemaxima (Kamerstuknummers 34190) dat 
aanhangig is bij de Eerste Kamer, voorgesteld om het op grond van de Tw voor de Autoriteit Per¬ 
soonsgegevens geldende boetemaximum van € 450.000 te verhogen naar € 900.000. Ook een 
dergelijke aanpassing kan leiden tot wijziging van de beleidsregels. 

Bepalen van de hoogte van bestuurlijke boetes 

Bij de vaststelling van (de hoogte van) de boete moet de Autoriteit Persoonsgegevens onder andere 
het wettelijk boetemaximum, de toepasselijke bepalingen van (hoofdstuk 5 van) de Awb en de 
algemene beginselen van behoorlijk bestuur in acht nemen. 

De Autoriteit Persoonsgegevens kan omwille van de rechtsgelijkheid en rechtszekerheid beleid 
vaststellen en toepassen inzake de invulling van de bevoegdheid tot het opleggen van een boete, 
waaronder het bepalen van de hoogte daarvan. Met deze beleidsregels (hierna: Boetebeleidsregels) 
beoogt de Autoriteit Persoonsgegevens enerzijds inzicht te geven in de factoren die de hoogte van de 
boete bepalen. Anderzijds bieden de Boetebeleidsregels de Autoriteit Persoonsgegevens de nodige 
flexibiliteit om in individuele gevallen maatwerk te leveren. 

Artikel 4:84 van de Awb biedt de Autoriteit Persoonsgegevens de mogelijkheid van deze beleidsregels 
met betrekking tot het bepalen van de hoogte van boetes af te wijken vanwege bijzondere gevallen die 
niet in de beleidsregels zijn verdisconteerd (inherente afwijkingsbevoegdheid). 

De werking van deze Boetebeleidsregels wordt twee jaar na inwerkingtreding geëvalueerd om te 
bezien in hoeverre de inhoud van deze beleidsregels aanpassing behoeft. Te zijner tijd zal nader 
worden bekeken in welke vorm die evaluatie, waarbij externen zullen worden betrokken, zal plaatsvin¬ 
den. 

Systematiek van de Boetebeleidsregels: categorie-indeling en boetebandbreedtes 

In deze Boetebeleidsregels is gekozen voor een categorie-indeling en bandbreedte systematiek. 

De beboetbare bepalingen op de naleving waarvan de Autoriteit Persoonsgegevens toezicht houdt, 
zijn per wettelijk boetemaximum van € 820.000, € 450.000 of € 20.500 ingedeeld in een aantal 
boetecategorieën, en daaraan verbonden in hoogte oplopende boetebandbreedtes. 

De boetecategorieën zijn gerangschikt naar zwaarte van de overtreding van de genoemde artikelen, 
waarbij categorie I de minst zware overtredingen bevat en categorie II of III de zwaarste overtredingen. 

Met de indeling in categorieën geeft de Autoriteit Persoonsgegevens een indicatie van de hoogte van 


Staatscourant 2016 nr. 2043 15 januari 2016 




de boete die wegens een bepaalde overtreding kan worden opgelegd. 

Bij het bepalen van de categorie-indeling heeft de Autoriteit Persoonsgegevens zich georiënteerd op 
het voorstel voor de Algemene verordening gegevensbescherming. Het voorstel van de Commissie 
voor deze verordening en de algemene benadering van de Raad delen de overtredingen in drie 
categorieën in, en verbinden daaraan in zwaarte oplopende bestuurlijke geldboetes. 9 

Bij de indeling van de bepalingen in de boetecategorieën heeft de Autoriteit Persoonsgegevens de 
zwaarte van de geschonden norm gewogen en beoordeeld. Het gaat daarbij om de waarde van de 
norm en zijn plaats in de hiërarchie van normen in het stelsel van privacy wet- en regelgeving, mede 
gelet op de daarmee te dienen doelen en de belangen die deze bepalingen beogen te beschermen. 
Daarnaast is bekeken in welke categorie de betreffende normen in het voorstel voor de Algemene 
verordening gegevensbescherming zijn ingedeeld. 

Voor de algemene verplichtingen voor de verantwoordelijken uit hoofdstuk 2 van de Wbp met een 
wettelijk boetemaximum van € 820.000, geldt dat ze in beginsel nevengeschikt en niet ondergeschikt 
zijn ten opzichte van elkaar. 10 Dat betreft allereerst de hoofdverplichtingen uit de artikelen 6 tot en met 
13. Die bepalingen betreffen de materiële normen die gelden voor alle verwerkingen van persoonsge¬ 
gevens, waardoor, over het algemeen, de indeling in categorie II op zijn plaats is. Datzelfde geldt voor 
overtreding van de artikelen 33, 34 en 34a. Transparantie is eveneens een hoofdverplichting van de 
verantwoordelijke. 11 Ten aanzien van de meldplicht voor datalekken heeft de Autoriteit Persoonsgege¬ 
vens zich georiënteerd op de beleidsregel die door de Minister van Economische Zaken is vastgesteld 
met betrekking tot het opleggen van bestuurlijke boetes door de Autoriteit Consument en Markt ter 
zake van overtreding van de meldplicht voor datalekken in artikel 11.3a van de Tw (Boetebeleidsregel 
ACM 2014). 12 

Ook voor de rechten van de betrokkene in hoofdstuk 6 geldt dat ze in beginsel nevengeschikt en niet 
ondergeschikt zijn ten opzichte van elkaar. 13 Dit betreft de overtredingen van de artikelen 35 tot en met 
42 van de Wbp. Bij het bepalen van de categorie-indeling is ervan uitgegaan dat de verplichtingen die 
de verantwoordelijken hebben bij de behandeling van verzoeken van betrokkenen om inzage, correctie 
en verzet in belangrijke mate van juridisch-administratieve aard zijn. 14 De materiële rechten van de 
betrokkene zijn ingedeeld in categorie II. De bepalingen die meer procedurele waarborgen bieden, 
zoals artikel 35, derde lid, van de Wbp, zijn ingedeeld in categorie I. Hetzelfde geldt in grote lijnen voor 
de verplichtingen die voortvloeien uit de regeling van de doorgifte van persoonsgegevens naar landen 
buiten de Europese Economische Ruimte zonder een passend beschermingsniveau. Dit betreft de 
overtredingen van de artikelen 76 tot en met 78 van de Wbp. 15 

De indeling in categorie III heeft te maken met de aard van het geschonden rechtsgoed, zoals het 
voorkomen van misbruik van de verwerking van gevoelige informatie over personen en het daaruit 
voortvloeiende kennispotentieel met betrekking tot andere personen 16 dan wel de bescherming van de 
menselijke waardigheid. Artikel 16 van de Wbp bevat het belangrijke verbod op het verwerken van 
bijzondere persoonsgegevens. Overtreding van artikel 24 van de Wbp kan aan de orde zijn bij het 
buitenwettelijk gebruik van persoonsidentificerende nummers. Artikel 42 van de Wbp beschermt tegen 
besluitvorming ten aanzien van enige natuurlijke persoon op grond van een profielschets of een 
persoonlijkheidsschets die langs geautomatiseerde weg tot stand is gebracht. Uit de wetsgeschiedenis 
kan worden opgemaakt dat de menselijke waardigheid vereist dat dergelijke beslissingen over iemand 
door een andere persoon, en niet slechts door een geautomatiseerd systeem, worden genomen. 17 

Elke boetecategorie is gekoppeld aan een bepaalde boetebandbreedte die de Autoriteit Persoonsgege¬ 
vens passend en geboden voorkomt. Dit betekent dat de hoogte van de boetebandbreedtes evenredig 
moet zijn en voldoende afschrikwekkend voor zowel de overtreder (speciale preventie) als andere 
potentiële overtreders (generale preventie). Binnen deze bandbreedte stelt de Autoriteit Persoonsge¬ 
gevens een basisboete vast. Dat is het 'startbedrag' om mee verder te rekenen. Als uitgangspunt geldt 


9 De voorgestelde maximale boete is 1 miljoen euro of, voor een onderneming, 2% van de jaarlijkse wereldwijde omzet (artikel 79 
van het voorstel van de Commissie en artikel 79a van de algemene benadering van de Raad). 

10 Kamerstukken II 2014/15, 33 662, nr. 9, p. 19. 

11 Zie ook Kamerstukken II 2014/15, 33 662, nr. 9, p. 17-18. 

12 Vgl. Kamerstukken II 2014/15, 33 662, nr. 9, p. 19-20. 

13 Kamerstukken II 2014/15, 33 662, nr. 9, p. 19. 

14 Zie ook Kamerstukken II 2014/15, 33 662, nr. 9, p. 18. 

15 Kamerstukken II 2014/15, 33 662, nr. 9, p. 18. 

16 Dat raakt aan het verbod op het maken van onderscheid tussen personen op grond van godsdienst, levensovertuiging, politieke 
gezindheid, ras, geslacht etc. (o.a. artikel 1 van de Grondwet). Vgl. Kamerstukken I1 1997/98, 25 892, nr. 3, p. 11 en Kamerstukken II 
1998/99, 25 892, nr. 6, p. 10. 

17 Kamerstukken I1 1997/98, 25 892, nr. 3, p. 169-170. 


Staatscourant 2016 nr. 2043 15 januari 2016 





dat de Autoriteit Persoonsgegevens de basisboete vaststelt op 33% van de bandbreedte van de aan de 
overtreding gekoppelde boetecategorie. 

De hoogte van de boete stemt de Autoriteit Persoonsgegevens vervolgens af op de factoren die zijn 
genoemd in artikel 6, door te 'plussen en minnen' binnen de bandbreedte van de aan die overtreding 
gekoppelde boetecategorie. Het gaat om de ernst van de concrete overtreding, de mate waarin de 
overtreding aan de overtreder kan worden verweten en, indien daar aanleiding toe bestaat, andere 
omstandigheden, zoals de (financiële) omstandigheden waarin de overtreder verkeert. De Autoriteit 
Persoonsgegevens kan daarbij, zo nodig en afhankelijk van de mate waarin de factoren die zijn 
genoemd in artikel 6 daartoe aanleiding geven, 'doorschieten' in de boetebandbreedte van de naast 
hogere respectievelijk de naast lagere categorie. Het treden buiten de grenzen van de boeteband¬ 
breedte van de basisboete als bedoeld in artikel 7, eerste lid, is aan de orde, indien de hoogte van de 
boete, gezien de omstandigheden van het concrete geval, anders niet voldoende preventieve werking 
heeft dan wel onevenredig hoog is. Is het hoogste boetemaximum voor een bepaalde overtreding 
door een rechtspersoon € 820.000, dan kan de Autoriteit Persoonsgegevens niettemin (eventueel: nog 
verder) 'doorschieten' en aan de rechtspersoon een hogere boete opleggen tot tien procent van de 
jaaromzet in het boekjaar voorafgaande aan het jaar waarin het boetebesluit wordt genomen. Deze 
omstandigheid doet zich voor indien de hoogte van de boete in het concrete geval anders als 
onvoldoende bestraffend wordt ervaren (zie artikel 7, tweede lid). 

De Autoriteit Persoonsgegevens houdt voorts rekening met de aanwezigheid van boeteverhogende en 
boeteverlagende factoren als bedoeld in de artikelen 9 en 10 om bijzondere omstandigheden die zien 
op de gedragingen van de overtreder te kunnen meewegen. De Autoriteit Persoonsgegevens kan 
daarbij, zo nodig (nogmaals, als toepassing is gegeven aan artikel 7, eerste lid) en afhankelijk van de 
mate waarin de boeteverhogende of boeteverlagende omstandigheden daartoe aanleiding geven, 
buiten de grenzen van de toegepaste boetebandbreedte treden. Een boeteverhogende factor kan 
uiteraard niet leiden tot een boete die uitstijgt boven het wettelijk boetemaximum of, waar van 
toepassing, boven tien procent van de jaaromzet in het boekjaar voorafgaande aan het jaar waarin het 
boetebesluit wordt genomen. 

Tot slot beoordeelt de Autoriteit Persoonsgegevens op grond van artikel 5:46 van de Algemene wet 
bestuursrecht of de toepassing van het beleid voor het bepalen van de hoogte van de boete gezien de 
omstandigheden van het concrete geval, niet tot een onevenredige uitkomst leidt. Als zij de boete te 
hoog vindt, gaat zij over tot matiging van de boete. Een dergelijke toepassing van het evenredigheids¬ 
beginsel kan onder andere spelen bij cumulatie van sancties. Op grond van artikel 5:8 van de Awb kan 
bij de uit het strafrecht bekende meerdaadse samenloop voor iedere overtreding afzonderlijk een 
boete worden opgelegd. Van meerdaadse samenloop is sprake indien een gedraging (een fysieke 
handeling) twee of meer overtredingen oplevert, die ook afzonderlijk hadden kunnen worden 
gepleegd en die verschillende belangen schenden. Indien de Autoriteit Persoonsgegevens voor te 
onderscheiden, maar wel samenhangende overtredingen twee of meer boetes wil opleggen, moet het 
totaal van de boetes nog wel aansluiten bij de ernst van de overtredingen. Toepassing van artikel 5:46 
van de Awb kan er dan toe leiden dat een boete die voor de betreffende overtreding afzonderlijk in het 
algemeen redelijk is, in het concrete geval, gezien het totaal van de boetes, als onevenredig moet 
worden beschouwd en door de Autoriteit Persoonsgegevens dus moet worden gematigd. 18 

Consultatie 

De conceptboetebeleidsregels zijn voor een reactie voorgelegd aan de volgende partijen: de Staatsse¬ 
cretaris van Veiligheid en Justitie, de Minister van Binnenlandse Zaken en Koninkrijksrelaties, de 
Minister van Economische Zaken, VNO-NCW, de VNG en het Nederlands Genootschap van Functiona¬ 
rissen voor de Gegevensbescherming (hierna: NGFG). Tijdens de besloten consultatie zijn schriftelijke 
reacties ontvangen van de Staatssecretaris van Veiligheid en Justitie, mede namens de Minister van 
Binnenlandse Zaken en Koninkrijksrelaties en de Minister van Economische Zaken, en van VNO-NCW 
en MKB Nederland. 

Verder zijn de conceptboetebeleidsregels voorwerp van een internetconsultatie geweest. De internet- 
consultatie heeft negen reacties opgeleverd. Tijdens de internetconsultatie zijn schriftelijke reacties 
ontvangen van twee individuele burgers en zeven organisaties, bedrijven en adviseurs. 

Hoofdpunten uit de reacties zijn opmerkingen over: het ontbreken van inzicht in hoe de Autoriteit 
Persoonsgegevens de basisboete vaststelt; de indeling van artikelen in meer dan een boetecategorie 
(al dan niet gerelateerd aan de mogelijkheden voor de Autoriteit Persoonsgegevens om buiten de 
boetebandbreedte te treden of het gekozen aantal boetecategorieën); hoe de Autoriteit Persoonsgege- 


13 Zie ook Kamerstukken II 2003/04, 29 702, nr. 3, p. 90-91. 
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vens rekening houdt met beperkte financiële draagkracht van kleine ondernemingen; hoe de Autoriteit 
Persoonsgegevens omgaat met cumulatie van bestuurlijke sancties; wanneer de Autoriteit Persoons¬ 
gegevens welk handhavingsinstrument inzet en de term 'ernstig verwijtbare nalatigheid' in relatie tot 
het lex certa-beginsel. 

Naar aanleiding van de reacties heeft de Autoriteit Persoonsgegevens wijzigingen in de conceptboete- 
beleidsregels aangebracht. De aangehaalde punten zijn grotendeels geadresseerd in de betreffende 
artikelen van de beleidsregels of in de desbetreffende onderdelen van deze toelichting (waar relevant). 
De laatste twee punten hebben niet geleid tot aanpassing van het concept. 

Deze Beleidsregels gaan alleen over het bepalen van de hoogte van boetes. De Autoriteit Persoonsge¬ 
gevens heeft ervoor gekozen om de Beleidsregels handhaving door het CBP (Stcrt. 2011, nr. 1916) over 
het prioriteringsbeleid van de Autoriteit Persoonsgegevens op dit moment niet aan te vullen of uit te 
breiden met bijvoorbeeld een toelichting over wanneer de Autoriteit Persoonsgegevens kiest voor 
formele handhavingsinstrumenten zoals de last onder dwangsom, de bindende aanwijzing en de 
boete en wanneer voor meer informele instrumenten zoals een waarschuwing. Het bestuursrecht kent 
overigens ook geen 'voorwaardelijke boete'. Te zijner tijd zal nader worden bekeken of de Beleidsre¬ 
gels handhaving door het CBP aanpassing behoeven, nadat ervaring is opgedaan met handhaving 
door middel van het opleggen van een boete. 

In de wetsgeschiedenis wordt het lex certa-beginsel steeds in verband gebracht met het algemeen- 
abstracte karakter van de materiële normen van de Wbp. 19 In de bindende aanwijzing zal de Autoriteit 
Persoonsgegevens ter concretisering van de wettelijke norm moeten aangeven welke gedraging op 
grond van de Wbp van de verantwoordelijke wordt verwacht en hem zo mogelijk moeten opdragen 
om de overtreding geheel of gedeeltelijk te herstellen. Hieruit valt geenszins op te maken dat het 
gebruik van de term 'ernstig verwijtbare nalatigheid' (zonder nadere uitwerking) in strijd zou komen 
met het principe van kenbaarheid en duidelijkheid van door bestuurlijke sancties te handhaven 
voorschriften. Artikel 66, vierde lid, van de Wbp geeft geen materiële norm die kan worden overtre¬ 
den. Het betreft een uitzondering op een procedurele bepaling over de verplichting een bindende 
aanwijzing te geven, alvorens een boete op te leggen. Nog daargelaten hetgeen reeds in de wetsge¬ 
schiedenis is opgenomen over de uitleg van dit begrip. 

Overige reacties en opmerkingen die niet (primair) zien op het beleid met betrekking tot het bepalen 
van de hoogte van boetes zullen op een andere wijze ter hand worden genomen. 


Artikelsgewijze toelichting 
Artikel 6, eerste lid 

De Autoriteit Persoonsgegevens stemt de beoordeling van de aard en omvang van de overtreding in 
ieder geval af op: de schaal waarop de overtreding heeft plaatsgevonden, de intensiteit van de 
overtreding en het stelselmatige of incidentele karakter ervan. 

De Autoriteit Persoonsgegevens stemt de beoordeling van de impact van de overtreding op (de 
bescherming van persoonsgegevens en van de persoonlijke levenssfeer voor) de betrokkenen en/of de 
maatschappij bijvoorbeeld af op: het (financiële) voordeel dat de overtreder heeft behaald met de 
overtreding en/of de schade die betrokkenen hebben geleden door de overtreding. 

Artikel 6, tweede lid, tweede volzin 

De tweede volzin van dit artikellid maakt duidelijk dat het criterium 'opzettelijk of ernstig verwijtbaar 
nalatig handelen' in artikel 66, vierde lid, van de Wbp een aanzienlijke mate van verwijtbaarheid 
veronderstelt. Dat heeft, in gevallen waarin de Autoriteit Persoonsgegevens een boete kan opleggen 
aan de overtreder zonder eerst een bindende aanwijzing te geven, bij het bepalen van de hoogte van 
de boete overeenkomstig paragraaf 2.4 gevolgen voor de beoordeling van de mate waarin de 
overtreding aan de overtreder kan worden verweten. Dit houdt in dat een verlaging van de basisboete 
vanwege verminderde verwijtbaarheid in een dergelijk geval niet in de rede ligt. 

Artikel 6, derde lid 

De Autoriteit Persoonsgegevens houdt, op aandragen van de overtreder, zo nodig rekening met de 
grootte van een onderneming in relatie tot de beperkte(re) financiële draagkracht van de overtreder. 


19 Zie ook Kamerstukken II 2014/15, 33 662, nr. 9, p. 4. 
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Artikel 7 , eerste lid 


De Autoriteit Persoonsgegevens kan de boetebandbreedte van de naast hogere categorie respectieve¬ 
lijk de bandbreedte van de naast lagere categorie toepassen indien de hoogte van de boete, gezien de 
relevante factoren die zijn genoemd in artikel 6, anders niet voldoende preventieve werking heeft dan 
wel onevenredig hoog is. 

Artikel 7 , tweede lid 

Indien in voorkomende gevallen een boete van € 820.000 geen passende bestraffing toelaat omdat 
deze anders bijvoorbeeld niet in verhouding staat tot het met de overtreding behaalde voordeel, kan 
de Autoriteit Persoonsgegevens een hogere boete opleggen tot ten hoogste tien procent van de 
jaaromzet van de rechtspersoon. 

Artikel 8 

Indien in een concreet geval sprake is van boeteverhogende of boeteverlagende omstandigheden kan, 
na het bepalen van de boeteverhoging of boeteverlaging, buiten de toegepaste bandbreedte worden 
getreden. De 'toegepaste' bandbreedte hoeft niet de bandbreedte van de aan de overtreding gekop¬ 
pelde boetecategorie (ook wel: bandbreedte van de basisboete) te zijn. 

Artikel 9, eerste lid 

Een boeteverhoging vanwege de omstandigheid dat de overtreder het onderzoek, bedoeld in artikel 60 
van de Wbp, van de Autoriteit Persoonsgegevens heeft tegengewerkt of belemmerd, is mogelijk voor 
zover dit geen afbreuk doet aan de rechten van verdediging die een overtreder toekomen. Een 
dergelijke boeteverhoging is niet mogelijk indien een boete aan de overtreder is of wordt opgelegd 
wegens niet-meewerken aan het onderzoek (artikel 5:20 van de Awb). 

Artikel 9, tweede lid 

Dit artikel maakt duidelijk dat de enkele niet-nakoming van een bindende aanwijzing als bedoeld in 
artikel 66, vijfde lid, van de Wbp nog geen recidive veronderstelt, omdat geen sprake is van eenzelfde 
of soortgelijke overtreding van het onderliggende artikel in de zin van dit tweede lid. Dat is ook van 
belang omdat de ratio van de regeling van de bindende aanwijzing is dat de Autoriteit Persoonsgege¬ 
vens in de bindende aanwijzing ter concretisering van de wettelijke norm moet aangeven welke 
gedraging op grond van de Wbp van de verantwoordelijke wordt verwacht. Dit houdt verband met het 
algemeen-abstracte karakter van de normen van de Wbp en het lex certa-beginsel. 20 Onduidelijkheid 
over de invulling van de betreffende norm behoort dan ook geen boeteverhogende factor te zijn. 

Artikel 10 

Dit artikel geeft een (niet-limitatief) overzicht van boeteverlagende omstandigheden. 

Bij het criterium 'verdergaande medewerking verleend aan de Autoriteit Persoonsgegevens dan 
waartoe de overtreder wettelijk gehouden was', bedoeld in artikel 10, onder a, valt te denken aan de 
situatie waarin de overtreder niet alleen medewerking aan het onderzoek, bedoeld in artikel 60 van de 
Wbp, heeft verleend (bijvoorbeeld een verklaring heeft willen afleggen), maar ook sprake is van een 
daadwerkelijk verdergaande medewerking aan het onderzoek dan waartoe de overtreder wettelijk was 
gehouden. 

Het criterium dat 'de overtreder de overtreding heeft beëindigd voor of bij de eerste bekendwording 
met het onderzoek van de Autoriteit Persoonsgegevens' heeft betrekking op gevallen waarin de 
overtreder heeft gehandeld met het oogmerk om actief (uit eigen beweging) de overtreding te 
beëindigen. 

Bijlage 1, artikel 6 van de Wbp 

Het woord 'wet' in artikel 6 van de Wbp heeft mede betrekking op andere wetgeving inzake de 
verwerking van persoonsgegevens. Het gaat hier dus om een schakelbepaling die verzekert dat de 
betrokken regelingen in onderling verband van toepassing zijn. 21 Artikel 6 van de Wbp is daarom 
ingedeeld in categorie I, II of III. De voor de concrete overtreding geldende boetecategorie is dan 


20 Kamerstukken II 2014/15, 33 662, nr. 9, p. 4. 

21 Kamerstukken I1 1997/98, 25 892, nr. 3, p. 78. 
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bijvoorbeeld afhankelijk van de zwaarte van de geschonden norm uit die andere regelingen. Niet 
uitgesloten is voorts dat overtreding van een specifiek gedragsvoorschrift tevens een schending van 
artikel 6 van de Wbp oplevert. In dat geval ligt het in de rede dat de Autoriteit Persoonsgegevens een 
eventuele boete primair baseert op het meer specifieke voorschrift (vergelijk artikel 55, tweede lid, van 
het Wetboek van Strafrecht). 22 

Bijlage 2: artikel 11.3a van de Tw 

In artikel 34a van de Wbp is per 1 januari 2016 een algemene meldplicht voor datalekken geïntrodu¬ 
ceerd. Artikel 11.3a van de Tw kende al de meldplicht datalekken voor aanbieders van openbare 
elektronische communicatiediensten. Artikel 34a, negende lid, van de Wbp maakt duidelijk dat geen 
melding hoeft te worden gedaan van een datalek ingevolge artikel 34a van de Wbp indien de 
verantwoordelijke in zijn hoedanigheid als aanbieder van een openbare elektronische communicatie¬ 
dienst, in verband met de levering van openbare elektronische communicatiediensten, al een 
kennisgeving heeft gedaan ingevolge artikel 11.3a van de Tw. Voor andere situaties gelden de 
algemene bepalingen over cumulatie van sancties uit de Awb. 

Het verschil in categorie-indeling tussen artikel 11.3a van de Tw en artikel 34a van de Wbp hangt 
samen met het grote onderscheid in wettelijk boetemaximum tussen de beide artikelen. Bij de Eerste 
Kamer is een wetsvoorstel (Kamerstuknummers 34190) aanhangig om het op grond van de Tw voor 
onder andere de Autoriteit Persoonsgegevens geldende boetemaximum van € 450.000 te verhogen 
naar € 900.000. Een dergelijke wijziging kan leiden tot aanpassing van de boetebandbreedtes en 
gelijkschakeling van de boetecategorieën. 

Bijlage 3: de artikelen 4, derde lid, en 78, tweede lid, onder a, van de Wbp 

Het wettelijk boetemaximum voor wat betreft de bepalingen die onder de Wbp ook strafrechtelijk 
kunnen worden bestraft, is gelijkgesteld aan de hoogste strafrechtelijke geldboete die volgens artikel 
75 van de Wbp kan worden opgelegd (de vierde categorie van artikel 23, vierde lid, van het Wetboek 
van Strafrecht, ofwel € 20.500). 

Op grond van artikel 75, eerste lid, van de Wbp kan de verantwoordelijke die in strijd handelt met 
hetgeen bij of krachtens artikel 4, derde lid, en artikel 78, tweede lid, onder a, is bepaald, worden 
gestraft met een geldboete van de derde categorie. De verantwoordelijke die een dergelijk feit 
opzettelijk begaat, kan worden gestraft met een geldboete van de vierde categorie. Als in plaats van 
strafvervolging een boete wordt opgelegd, legt de Autoriteit Persoonsgegevens geen hogere boete op 
dan de maximale geldboete die de strafrechter in het concrete geval zou hebben kunnen opleggen. 

Dat is afhankelijk van of de overtreding opzettelijk is gepleegd of niet een boete van ten hoogste het 
bedrag van de geldboete van de vierde respectievelijk de derde categorie van artikel 23, vierde lid, van 
het Wetboek van Strafrecht (per 1 januari 2016: € 20.500 dan wel € 8.200). 


22 Zie ook Kamerstukken II 2003/04, 29 702, nr. 3, p. 90-91. 
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